Name:Worm/Rjump.A.2
Entdeckt am:06/08/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:3.515.723 Bytes
MD5 Prüfsumme:3efdfddfffe5cf4ad40c5368c336a702
IVDF Version:6.35.01.56 - Sonntag, 6. August 2006

 General Aliases:
   •  Sophos: W32/RJump-H
   •  Panda: Bck/Simut.A
   •  Eset: Win32/RJump.A
   •  Bitdefender: Trojan.Generic.1618020


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\RavMonE.exe



Es wird folgende Datei erstellt:

%Verzeichnis in dem die Malware ausgeführt wurde%\RavMonLog



Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://natrocket.kmip.net:5288/**********?peer_id=&port=&type=&ver=
   • http://natrocket.9966.org:5288/**********?peer_id=&port=&type=&ver=
   • http://scipaper.kmip.net:80/**********?peer_id=&port=%Nummer%&type=&ver=%Nummer%




Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %SYSDIR%\cmd.exe /c netsh firewall add portopening TCP 17841 NortonAV


– Dateiname:
   • netsh firewall add portopening TCP 17841 NortonAV

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "RavAV"="%WINDIR%\RavMonE.exe"

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 22. April 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 22. April 2010

zurück . . . .